标题: 灰鸽子成功穿越微点主动防御 [打印本页]

---

作者: zy870829     时间: 2007-11-12 20:02    标题: 灰鸽子成功穿越微点主动防御

灰鸽子成功穿越微点主动防御
微点真有那么强吗..其实它跟瑞星的主动差不多...

首先配置鸽子的时候..生成地址假设为 c:\windows\123.exe

配置出来的鸽子端也改名为123.exe (微点也带特征查杀,,这里就已经达到免杀了)

并且配合RAR的自解压缩..把123.exe释放到c:\windows\下运行

这样..等于木马是没进行释放的..所以微点查不到

但这样有个缺点...只能即时运行程序..无法写入服务项..则重起后就无法启动了

解决办法..生成地址为 启动目录下...RAR自解压缩也到同一目录下

这样..开机就可以自动运行

不足就是....第一.降低了隐蔽性..别人只要看启动目录..就会发现木马(不过经常去看那个地方的人很少吧)

第二..自解压缩选项如果把隐藏运行RAR和解压缩后运行某程序都设置了..那微点就绝对会弹未知木马.解决办法.只设置隐藏运行RAR..不设置解压缩后运行程序..这样就不会弹..但必须等重起木马才能运行.
还有一个解决办法..设置解压缩后运行程序,在安静模式中选择第2项隐藏启动对话框,这样,木马就会直接运行了.也不会弹拦截..但运行自解压的时候会弹出个框.虽然是一瞬间..但也降低了隐蔽性.

阐述下思路...微点的拦截就是根据程序的释放来判断.....如果木马跟释放位置及文件名为同一个..这样..木马就不算是释放后运行的了..自然也就判断不出来..



在网上看到的这篇文章，不知道其可行性，发上来让大家看看

---

作者: xylw19     时间: 2007-11-12 20:14
真的假的听起来挺吓人的~！

---

作者: Legend     时间: 2007-11-12 20:28
微点对此已能很好的防御处理
此贴暂作关闭处理，相关内容请您参阅之前发布的其它帖，如果问题请您另开新帖讨论，谢谢

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn